Докази з нульовою довірою: революція у захисті приватності та довірі до блокчейну

Уявіть, що вам потрібно довести другу, що ви знаєте певну таємницю, але при цьому не хочете її розкривати — ця, здавалося б, протилежна потреба і є основною проблемою, яку вирішує нульове знання. Нульове знання — це криптографічна технологія, яка дозволяє одній стороні довести іншій правдивість певної заяви без розкриття будь-якої конкретної інформації. Цю концепцію, вперше запропонували у 1985 році Шафі Гольдвасер і Сільвіо Мікалі з MIT, і вона стає ключовою технологією у сферах блокчейну та захисту приватності.

З розумінням з повсякденного життя — сутність нульового знання

Привабливість нульового знання полягає у його широкій застосовності. Уявіть просту ситуацію: ви хочете довести, що вмієте готувати, але не хочете, щоб ваша родина бачила ваш безлад на кухні. Вирішення дуже елегантне — ви заходите на кухню самостійно, і достатньо подати готову страву, щоб підтвердити свої навички, не розкриваючи процесу приготування.

Саме в цьому і полягає глибока ідея нульового знання. Воно створює механізм мінімізації обміну інформацією між сторонами, базуючись на довірі. Довіряльник (prover) може підтвердити перевіряючому (verifier), що певне твердження є правдивим, не розкриваючи при цьому жодних додаткових деталей. Такий механізм руйнує традиційне уявлення про довіру, коли потрібно знати всі деталі для підтвердження.

У криптографії це називається трьома основними характеристиками нульового знання: цілісність (completeness) гарантує, що чесний довіряльник зможе переконати чесного перевіряючого; надійність (soundness) забезпечує, що шахрай майже не зможе обдурити; і нульове розкриття (zero-knowledge) гарантує, що під час процесу не буде розкрито жодної прихованої інформації. Ці три характеристики становлять теоретичну основу нульового знання.

Приватність, ідентичність, ефективність — чому нульове знання так важливе

У сучасному інтернет-екосистемі криза приватності є повсюдною. Різноманітні додатки активно збирають дані користувачів, зберігаючи особисту ідентифікаційну інформацію (PII) у централізованих базах даних, які стають мішенню для хакерів. У разі витоку даних виникають проблеми крадіжки особистості та шахрайства. Нульове знання пропонує вихід — користувач може довести свою особистість або права без розкриття реальних даних.

У сфері аутентифікації нульове знання відкриває нові можливості. Ви можете довести, що вам вже 18 років, не надаючи паспорт або дату народження. Можна підтвердити, що ви є учасником певного сервісу, не розкриваючи деталі облікового запису. Така вибіркова демонстрація інформації значно захищає приватність користувачів і водночас задовольняє потреби платформ у підтвердженні особистості.

Для блокчейн-екосистеми нульове знання стало основою для створення приватних криптовалют. Проекти Zcash і Monero використовують технології нульового знання для повного приховування адрес учасників, типу активів, обсягів транзакцій і часових міток. Навіть якщо транзакція публічно видима у блокчейні, її рухи залишаються невідстежуваними. Проект Tornado Cash застосовує цю технологію у Ethereum, дозволяючи користувачам здійснювати приватні транзакції, кардинально змінюючи підхід до приватності у блокчейні.

Ще важливіше, що нульове знання допомагає вирішити проблему масштабованості блокчейну. У рішеннях Layer 2 багато транзакцій об’єднуються у один пакет, для якого генерується доказ їх легітимності у вигляді нульового знання. Перевіряльник не виконує повторний обрахунок усіх операцій, а просто перевіряє цей доказ, що значно знижує навантаження мережі і прискорює обробку транзакцій.

Також з’являється можливість підтвердження обчислень. Якщо у користувача недостатньо обчислювальних ресурсів або їх вартість занадто висока, сторонні сервіси (наприклад, оракули Chainlink) можуть виконати обчислення і згенерувати доказ правильності результату. Це дозволяє безпечно делегувати складні обчислення без ризику їх спотворення.

Два шляхи нульового знання: інтерактивний і неінтерактивний

Реалізація нульового знання поділяється на два основних типи, що відображають різні технічні компроміси.

Інтерактивний підхід має привабливу логіку. Довіряльник і перевіряючий ведуть багатократний діалог: перевіряючий ставить виклики, довіряльник відповідає, і так далі, доки перевіряючий не переконається. Це можна проілюструвати на класичному прикладі — задачі про колірну сліпоту.

Уявімо, що Аліса — колірна сліпа, а Боб має два однакові кулі — синю і червону. Боб має довести, що кулі різного кольору, не показуючи їх. Він ховає кулі за спиною, випадково міняє їх місцями і питає Алісу, чи був обмін. Якщо Аліса бачить кольори, вона завжди відповість правильно. Одна перевірка дає 50% ймовірності правильного відповіді, але якщо вона правильно відповідає n разів підряд, то ймовірність її обману зменшується до (1/2)^n. При достатній кількості раундів ймовірність обману прагне до 0.

Однак у інтерактивних схемах є очевидні обмеження: кожен раз потрібно повний процес, обидві сторони мають бути присутніми одночасно, і кожен перевіряючий має окремо доводити свою правоту. Це ускладнює застосування у реальних системах.

Неінтерактивний підхід усуває ці обмеження. Довіряльник створює один доказ, який може бути перевірений незалежно, без додаткового обміну повідомленнями. Манюель Блюм, Пол Фельдман і Сільвіо Мікалі вперше реалізували цю ідею, ввівши спільний секрет, що дозволяє доводити без розкриття інформації.

Наприклад, у задачі судоку Аліса розв’язала головоломку і хоче довести це, не розкриваючи відповіді. Вона вводить початкове завдання і розв’язок у спеціальну машину, яка генерує 27 пакетів: по 9 — з цифрами кожного рядка (перемішаними), по 9 — з цифрами кожного стовпчика, і по 9 — з цифрами кожної 3×3 підсітки. Боб перевіряє ці пакети: якщо кожен з них містить цифри від 1 до 9 без повторів, він переконаний, що Аліса справді розв’язала судоку, не знаючи відповіді.

Порівняно з інтерактивними схемами, неінтерактивні мають очевидні переваги: один раз створений доказ можна використовувати необмежену кількість разів, без повторних обмінів повідомленнями. Це робить нульове знання практично застосовним.

SNARK і STARK: технічний вибір у нульовому знанні

Коли нульове знання переходить від теорії до практики, розробники створюють різні конкретні схеми, з яких найпопулярнішими є zk-SNARK і zk-STARK.

zk-SNARK — це “нульове знання коротке неінтерактивне доказове”. Вони мають дуже маленький розмір доказів і швидку перевірку. SNARK використовує еліптичні криві та криптографію на основі дискретних логарифмів, що наразі є дуже безпечним. Оскільки еліптичні криві працюють ефективніше за хеш-функції, перевірка у Ethereum є дешевшою. Проекти Zcash, Loopring, zkSync і Mina вже застосовують SNARK у своїх рішеннях — від приватних валют до масштабування Layer 2.

STARK — це інша технологія. Назва — “нульове знання масштабоване прозоре”. Вони базуються на хеш-функціях, а не на еліптичних кривих, що дає їм переваги: швидше створення доказів і краща масштабованість. Вони також більш стійкі до квантових атак, оскільки не використовують криптографію на основі відкритих ключів. Засновник проекту StarkWare Елі Бен-Сасон створив рішення StarkEx і StarkNet, а також застосовує цю технологію у таких проектах, як Immutable X.

Обидві схеми мають свої плюси і мінуси: SNARK — менший розмір і швидша перевірка, але менш стійкий до квантових загроз; STARK — більший доказ і довша перевірка, але більш безпечний у довгостроковій перспективі. Також існують гібридні рішення, наприклад PLONK або Bulletproofs, що балансують між цими характеристиками.

У реальних застосуваннях найбільше поширення отримали рішення Layer 2. zk-rollup об’єднує сотні транзакцій у один блок і додає доказ їхньої валідності. Перевіряльник просто перевіряє доказ, без повторного обчислення всього, що знижує навантаження і зменшує вартість транзакцій. Це — найуспішніший приклад практичного застосування нульового знання.

Реальні виклики і напрямки розвитку нульового знання

Попри перспективи, у застосуванні нульового знання є й виклики.

Перший — обчислювальні витрати. Генерація доказів вимагає обробки великих матриць і швидкого перетворення Фур’є. Це дуже повільно, і близько 70% часу йде на обчислення MSM, 30% — на FFT. Для прискорення використовують апаратне забезпечення — FPGA, яке коштує менше GPU і споживає менше енергії у 10 разів. Це означає, що для широкого застосування потрібні інвестиції у апаратну інфраструктуру.

Другий — вартість перевірки. У Ethereum перевірка одного zk-SNARK коштує близько 500 тисяч gas, STARK — дорожчі. Це все ще менше, ніж повторний обрахунок, але для мережі це навантаження.

Третій — довірчі припущення. zk-SNARK вимагає початкового налаштування спільних параметрів, і якщо учасники введуть фальшиві дані, інші не зможуть швидко це помітити. Хоча зараз розробляють “недовірливі” налаштування, це все ще слабке місце. STARK не має такого недоліку, оскільки не потребує довірчих параметрів.

Четвертий — квантові загрози. zk-SNARK базується на криптографії еліптичних кривих, яка може бути зламаною квантовими комп’ютерами. STARK використовує хеш-функції, більш стійкі до квантових атак, тому вважається більш довгостроково безпечним.

Незважаючи на ці виклики, напрямки розвитку очевидні: оптимізація процесів генерації і перевірки, створення нових апаратних рішень. У застосуванні нульового знання воно вже виходить за межі приватних валют і масштабування Layer 2 — воно поширюється на ідентифікацію, підтвердження обчислень, анонімне голосування та інші сфери. У Web3 ця технологія допомагає зберегти безпеку і децентралізацію блокчейну, одночасно забезпечуючи високий рівень приватності користувачів і близькість до швидкості Web2. Майбутнє нульового знання — це постійний розвиток і вдосконалення, і воно заслуговує на увагу.